0

OAuth-2.0認証コード付与プロトコルを検討してください。

標準ドラフトhttp://tools.ietf.org/html/ietf-oauth-v2-26で説明されているようにFigure 3 : Authorization Code Flow、はから受信したものClientに代わってトークンを取得しています。意図的に間違ったコードをに送信しているとします。(IPまたはホスト名によって)ある程度の期間禁止することにより、取得方法に対してある程度の保護を行う場合。私たちの場合、複数の異なるユーザーからの大量のリクエストを処理することになっている場合、悪意のあるユーザーが1つしかない場合は、すべてのユーザーにサービスを提供することを停止します。Authorization CodeUser-AgentUser-AgentClientAuthorization Serverbrute forceAccess TokenClientRedirection URIClientUser-Agent'sClient

したがって、Client上記の状況ではボトルネックになります。

====編集済み====ボトルネックの問題を回避する方法はありますか?

4

1 に答える 1

1

I believe you're asking: "how to evade this problem and NOT to expose Authorization Code to User-Agent?"

This is not possible. The OAuth request flows through the user's browser so you can't prevent exposing the authorization code to the user.

If you're a victim to an attack like this, I'd suggest putting the same protection into your Client that the OAuth provider is putting into their Authorization Server. Namely, stop allowing new authorization codes to be sent from a User-Agent that's abusing your service. If they send more than, say, 3 invalid tokens per hour, ban them for an hour or two (by IP address). Of course, this could lead to you denying access to your site from proxy servers because of one bad user on the proxy, but that's life.

于 2012-05-25T17:47:55.587 に答える